ProHoster > Blog > ynternet nijs > systemd systeembehearder release 249

systemd systeembehearder release 249

Nei trije moannen fan ûntwikkeling wurdt de frijlitting fan 'e systeembehearder systemd 249 presintearre. keppelje BPF-programma's oan tsjinsten, en implementeart brûkers fan identifier-mapping yn monteare partysjes, in grut part fan nije netwurkynstellingen en mooglikheden foar it lansearjen fan konteners wurde oanbean.

Grutte feroaringen:

  • It Journal protokol is dokumintearre en kin brûkt wurde yn kliïnten yn plak fan it syslog protokol foar lokale levering fan log records. It Journal-protokol is in lange tiid ymplementearre en wurdt al brûkt yn guon kliïntbiblioteken, lykwols, de offisjele stipe is krekt oankundige.
  • Userdb en nss-systemd jouwe stipe foar it lêzen fan ekstra brûkersdefinysjes yn 'e mappen /etc/userdb/, /run/userdb/, /run/host/userdb/ en /usr/lib/userdb/, spesifisearre yn JSON-formaat. It wurdt opmurken dat dizze funksje in ekstra meganisme sil leverje foar it meitsjen fan brûkers yn it systeem, it foarsjen fan folsleine yntegraasje mei NSS en /etc/shadow. JSON-stipe foar brûkers-/groepyngongen sil ek ferskate boarnebehear en oare ynstellingen kinne wurde hechte oan brûkers dy't pam_systemd en systemd-login werkenne.
  • nss-systemd biedt synteze fan brûkers-/groepyngongen yn /etc/shadow mei help fan hashed wachtwurden fan systemd-homed.
  • In meganisme is ymplementearre dat de organisaasje fan fernijings ferienfâldiget mei skiifpartysjes dy't inoar ferfange (ien partysje is aktyf, en de twadde is reserve - de fernijing wurdt kopieare nei de reservepartition, wêrnei't it aktyf wurdt). As d'r twa root- of /usr-partysjes binne yn 'e skiifôfbylding, en udev hat de oanwêzigens fan de parameter 'root=' net ûntdutsen, of ferwurket skiifôfbyldings opjûn fia de opsje "--image" yn de systemd-nspawn en systemd -dissect-nutsbedriuwen, kin de bootpartysje berekkene wurde troch GPT-labels te fergelykjen (oannommen dat it GPT-label it ferzjenûmer fan 'e ynhâld fan 'e partysje neamt en systemd sil de partysje selektearje mei de mear resinte feroarings).
  • In BPFProgram-ynstelling is tafoege oan de tsjinstbestannen, wêrmei jo it laden fan BPF-programma's yn 'e kernel kinne organisearje en se beheare mei bining oan spesifike systemd tsjinsten.
  • Systemd-fstab-generator en systemd-repart foegje de mooglikheid ta om te booten fan skiven dy't allinich in / usr-partysje hawwe en gjin root-partysje (de root-partysje sil generearre wurde troch systemd-repart tidens de earste boot).
  • Yn systemd-nspawn is de opsje "--private-user-chown" ferfongen troch de mear generike "--private-user-ownership" opsje, dy't "chown" wearden kin akseptearje as it ekwivalint fan "-- privee-brûker-chown", "út" om âlde ynstellings út te skeakeljen, "map" om brûkers-ID's yn kaart te bringen op monteare triemsystemen en "auto" om "kaart" te selektearjen as de fereaske funksjonaliteit oanwêzich is yn 'e kearn (5.12+) of weromfalle nei in rekursive oprop om "chown" oars. Mei help fan mapping, kinne jo map ien brûker syn triemmen op in montearre bûtenlânske partition oan in oare brûker op it hjoeddeiske systeem, wêrtroch't it makliker te dielen triemmen tusken ferskillende brûkers. Yn it systemd-homed draachbere thúsmapmeganisme sil mapping brûkers tastean om har thúsmappen nei eksterne media te ferpleatsen en se te brûken op ferskate kompjûters dy't net deselde layout fan brûkers-ID hawwe.
  • Yn systemd-nspawn kin de opsje "--privee-brûker" no de wearde "identiteit" brûke om brûkers-ID's direkt te reflektearjen by it ynstellen fan in brûkersnammeromte, d.w.s. UID 0 en UID 1 yn 'e kontener wurde wjerspegele yn UID 0 en UID 1 op' e hostside, om oanfalfektoren te ferminderjen (de kontener sil allinich prosesmooglikheden ûntfange yn syn nammeromte).
  • De opsje "--bind-brûker" is tafoege oan systemd-nspawn om in brûkersaccount besteande yn 'e hostomjouwing troch te stjoeren nei de kontener (de thúsmap is yn' e kontener monteard, in brûker/groepyngong wurdt tafoege, en UID-mapping wurdt útfierd tusken de kontener en de hostomjouwing).
  • Stipe tafoege foar it oanfreegjen fan ynstelde wachtwurden oan systemd-ask-wachtwurd en systemd-sysusers (passwd.hashed-password. en passwd.plaintext-wachtwurd. ) mei it meganisme yntrodusearre yn systemd 247 om gefoelige gegevens feilich oer te dragen mei tuskenlizzende bestannen yn in aparte map. Standert wurde referinsjes akseptearre fan it proses mei PID1, dy't se ûntfangt, bygelyks fan 'e kontenerbehearder, wêrtroch jo it brûkerswachtwurd by earste boot kinne konfigurearje.
  • systemd-firstboot foeget stipe ta foar it brûken fan de feilige oerdracht fan gefoelige gegevensmeganisme om ferskate systeemparameters te freegjen, dy't kinne wurde brûkt om systeemynstellingen te inisjalisearjen by it earste bootjen fan in kontenerôfbylding dy't net de nedige ynstellings hat yn 'e /etc-map.
  • It PID 1-proses soarget derfoar dat sawol de ienheidsnamme as beskriuwing wurde werjûn by it opstarten. Jo kinne de útfier feroarje fia de parameter "StatusUnitFormat=combined" yn system.conf of de kearnkommando-rigelopsje "systemd.status-unit-format=combined"
  • De opsje "--ôfbylding" is tafoege oan de systemd-machine-id-setup en systemd-repart-helpprogramma's om in bestân mei in masine-id oer te bringen nei in skiifôfbylding of om de grutte fan in skiifôfbylding te fergrutsjen.
  • In MakeDirectories-parameter is tafoege oan it partition-konfiguraasjetriem dat brûkt wurdt troch it systemd-repart-hulpprogramma, dat kin wurde brûkt om willekeurige mappen yn it oanmakke triemsysteem te meitsjen foardat se reflektearre wurde yn 'e partitiontabel (bygelyks om mappen te meitsjen foar berchpunten yn de root-partysje sadat jo de partysje daliks yn 'e lêsmodus kinne montearje). Om GPT-flaggen yn oanmakke seksjes te kontrolearjen, binne de oerienkommende flaggen, ReadOnly en NoAuto parameters tafoege. De parameter CopyBlocks hat in wearde fan "auto" om automatysk de aktuele bootpartysje te selektearjen as de boarne by it kopiearjen fan blokken (bygelyks as jo jo eigen root-partysje moatte oerdrage nei nije media).
  • GPT ymplementearret de flagge "grow-file-systeem", dy't fergelykber is mei de x-systemd.growfs mount-opsje en soarget foar automatyske útwreiding fan 'e FS-grutte nei de grinzen fan it blokapparaat as de FS-grutte lytser is as de partition. De flagge is fan tapassing op Ext3-, XFS- en Btrfs-bestânsystemen, en kin tapast wurde op automatysk ûntdutsen partysjes. De flagge is standert ynskeakele foar skriuwbere partysjes automatysk makke fia systemd-repart. De opsje GrowFileSystem is tafoege om de flagge yn systemd-repart te konfigurearjen.
  • It /etc/os-release-bestân biedt stipe foar nije IMAGE_VERSION- en IMAGE_ID-fariabelen om de ferzje en ID fan atomysk bywurke ôfbyldings te bepalen. De spesifikaasjes %M en %A wurde foarsteld om spesifisearre wearden te ferfangen yn ferskate kommando's.
  • De parameter "--útwreiding" is tafoege oan it portablelectl-hulpprogramma om draagbare systeemútwreidingsôfbyldings te aktivearjen (bygelyks kinne jo ôfbyldings ferspriede mei ekstra tsjinsten yntegreare yn 'e root-partysje).
  • It hulpprogramma systemd-coredump leveret de ekstraksje fan ELF build-id-ynformaasje by it generearjen fan in kearndump fan in proses, wat nuttich kin wêze foar it bepalen fan hokker pakket in mislearre proses heart as ynformaasje oer de namme en ferzje fan deb- of rpm-pakketten boud is yn 'e ELF-bestannen.
  • In nije hardwarebasis foar FireWire (IEEE 1394) apparaten is tafoege oan udev.
  • Yn udev binne trije wizigingen tafoege oan it seleksjeskema fan "net_id" netwurkynterface nammen dy't efterútkompatibiliteit skeine: ferkearde tekens yn ynterface nammen wurde no ferfongen troch "_"; PCI hotplug slot nammen foar s390 systemen wurde ferwurke yn heksadesimale foarm; It gebrûk fan maksimaal 65535 ynboude PCI-apparaten is tastien (earder waarden nûmers boppe 16383 blokkearre).
  • systemd-resolved foeget it domein "home.arpa" ta oan de list fan NTA (Negative Trust Anchors), dy't wurdt oanrikkemandearre foar lokale thúsnetwurken, mar net brûkt yn DNSSEC.
  • De CPUAffinity-parameter leveret it parsearjen fan 'e "%" spesifikaasjes.
  • In ManageForeignRoutingPolicyRules-parameter is tafoege oan .network-bestannen, dy't brûkt wurde kinne om systemd-networkd út te sluten fan it ferwurkjen fan routingbelied fan tredden.
  • De parameter RequiredFamilyForOnline is tafoege oan de ".network"-bestannen om de oanwêzigens fan in IPv4- of IPv6-adres te bepalen as teken dat de netwurkynterface yn 'e "online" steat is. Networkctl jout in werjefte fan de "online" status foar elke keppeling.
  • Added OutgoingInterface parameter oan .network triemmen foar in definiearje útgeande ynterface by it konfigurearjen fan netwurk brêgen.
  • In groepparameter is tafoege oan ".network"-bestannen, wêrtroch jo in Multipath-groep kinne konfigurearje foar yngongen yn 'e seksje "[NextHop]".
  • Opsjes "-4" en "-6" tafoege oan systemd-network-wait-online om ferbiningswachten allinich te beheinen nei IPv4 of IPv6.
  • In RelayTarget-parameter is tafoege oan de DHCP-tsjinnerynstellingen, dy't de tsjinner oerskeakelje nei DHCP Ralay-modus. Foar ekstra konfiguraasje fan it DHCP-relais wurde de opsjes RelayAgentCircuitId en RelayAgentRemoteId oanbean.
  • De parameter ServerAddress is tafoege oan de DHCP-tsjinner, wêrtroch jo it IP-adres fan de server eksplisyt ynstelle kinne (oars wurdt it adres automatysk selektearre).
  • De DHCP-tsjinner ymplementearret de seksje [DHCPServerStaticLease], wêrmei jo statyske adresbindingen (DHCP-leases) kinne konfigurearje, fêste IP-ferbiningen oan MAC-adressen oantsjutte en oarsom.
  • De ynstelling RestrictAddressFamilies stipet de wearde "gjin", wat betsjut dat de tsjinst gjin tagong sil hawwe ta sockets fan elke adresfamylje.
  • Yn 'e ".network"-bestannen yn 'e seksjes [Adres], [DHCPv6PrefixDelegation] en [IPv6Prefix] wurdt stipe foar de RouteMetric-ynstelling ymplementearre, wêrmei jo de metrike kinne opjaan foar it rûtefoarheaksel dat makke is foar it opjûne adres.
  • nss-myhostname en systemd-resolved jouwe synteze fan DNS-records mei adressen foar hosts mei in spesjale namme "_outbound", wêrfoar altyd in lokale IP wurdt útjûn, keazen yn oerienstimming mei de standertrûtes brûkt foar útgeande ferbiningen.
  • Yn .network triemmen, yn de "[DHCPv4]" seksje, is in standert aktive RoutesToNTP ynstelling tafoege, dy't fereasket it tafoegjen fan in aparte rûte troch de hjoeddeiske netwurk ynterface om tagong te krijen ta it NTP tsjinner adres krigen foar dizze ynterface mei help fan DHCP (lykas DNS , de ynstelling lit jo garandearje dat ferkear nei de NTP-tsjinner troch de ynterface trochstjoerd wurdt wêrmei't dit adres ûntfongen is).
  • Tafoege SocketBindAllow en SocketBindDeny ynstellings foar kontrôle tagong ta sockets bûn oan de hjoeddeiske tsjinst.
  • Foar ienheidsbestannen is in betingste ynstelling neamd ConditionFirmware ymplementearre, wêrtroch jo kontrôles kinne meitsje dy't firmwarefunksjes evaluearje, lykas wurk op UEFI- en device.tree-systemen, en ek komptabiliteit kontrolearje mei bepaalde apparaat-beam-mooglikheden.
  • De opsje ConditionOSRelease ymplementearre om fjilden te kontrolearjen yn it /etc/os-release-bestân. By it definiearjen fan betingsten foar it kontrolearjen fan fjildwearden binne de operators "=", "!=", "<", "<=", ">=", ">" akseptabel.
  • Yn it hostnamectl-hulpprogramma wurde kommando's lykas "get-xyz" en "set-xyz" befrijd fan de "get" en "set" foarheaksels, bygelyks ynstee fan "hostnamectl get-hostname" en "hostnamectl "set-hostnamme" jo kinne it kommando "hostnamectl hostnamme" brûke, de tawizing fan in wearde wêryn wurdt bepaald troch in ekstra argumint oan te jaan ("hostnamectl hostnammewearde"). Stipe foar âldere kommando's is behâlden om kompatibiliteit te garandearjen.
  • It hulpprogramma systemd-detect-virt en de ConditionVirtualization-ynstelling soargje foar korrekte identifikaasje fan Amazon EC2-omjouwings.
  • De LogLevelMax-ynstelling yn ienheidsbestannen jildt no net allinich foar logberjochten dy't troch de tsjinst generearre binne, mar ek foar PID 1-prosesberjochten dy't de tsjinst neame.
  • Levere de mooglikheid om SBAT (UEFI Secure Boot Advanced Targeting) gegevens op te nimmen yn systemd-boot EFI PE-bestannen.
  • /etc/crypttab implementeart nije opsjes "headless" en "wachtwurd-echo" - de earste lit jo alle operaasjes oerslaan dy't ferbûn binne mei ynteraktyf freegjen om wachtwurden en PIN's fan 'e brûker, en de twadde kinne jo de metoade konfigurearje foar it werjaan fan wachtwurdynfier (neat sjen litte, karakter foar karakter sjen litte en asterisken werjaan). De opsje "--echo" is tafoege oan systemd-ask-wachtwurd foar ferlykbere doelen.
  • systemd-cryptenroll, systemd-cryptsetup, en systemd-homed hawwe útwreide stipe foar it ûntsluten fan fersifere LUKS2-partysjes mei FIDO2-tokens. Nije opsjes tafoege "--fido2-mei-oanwêzigens fan brûker", "--fido2-mei-brûker-ferifikaasje" en "-fido2-mei-kliïnt-pin" om ferifikaasje, ferifikaasje en ferifikaasje fan fysike oanwêzigens fan brûkers te kontrolearjen en de needsaak om yn te gean in PIN-koade.
  • Added "--user", "--system", "--merge" en "--file" opsjes oan systemd-journal-gatewayd, fergelykber mei de journalctl-opsjes.
  • Neist direkte ôfhinklikens tusken ienheden oantsjutte troch de parameters OnFailure en Slice, is stipe foar ymplisite omkearde ôfhinklikens OnFailureOf en SliceOf tafoege, wat brûkber wêze kin, bygelyks foar it bepalen fan alle ienheden dy't yn slice opnommen binne.
  • Nije soarten ôfhinklikens tafoege tusken ienheden: OnSuccess en OnSuccessOf (it tsjinoerstelde fan OnFailure, neamd op suksesfolle foltôging); PropagatesStopTo en StopPropagatedFrom (stiet jo it stopevenemint fan in ienheid troch nei in oare ienheid te fersprieden); Upholds en UpheldBy (alternatyf foar Restart).
  • It hulpprogramma systemd-ask-wachtwurd hat no in opsje "--emoji" om it uterlik fan it hangslotsymboal (🔐) yn 'e wachtwurdynfierrigel te kontrolearjen.
  • Dokumintaasje tafoege oer systemd boarnebeamstruktuer.
  • Foar ienheden is in MemoryAvailable eigendom tafoege, toant hoefolle ûnthâld de ienheid hat oerbleaun foar it berikken fan de limyt ynsteld troch de MemoryMax, MemoryHigh of MemoryAvailable parameters.

Boarne: opennet.ru

Add a comment